Uma nova série de patches enviada há menos de um mês estava fornecendo descarga de cache de dados L1 opcional na alternância de contexto . Esse trabalho foi revivido novamente e agora, com a documentação adicionada, fica claro que esse trabalho está sendo realizado em resposta a uma recente CVE que foi tornada pública.
Os patches enviados originalmente por um engenheiro da Amazon caracterizaram o trabalho como " paranóico devido às recentes vulnerabilidades de amostragem de dados assistidas por bisbilhoteiros, para liberar seu L1D ao serem trocados. Isso protege seus dados de serem bisbilhotados ou vazados por canais laterais após o a tarefa mudou de contexto. "
O patch foi revisado no final de março para esta descarga de cache L1d opcional na alternância de contexto. Nesse ponto, foi novamente anunciado como algo para os usuários "paranóicos".
Esta manhã, uma nova versão dos patches foi publicada. Com a documentação adicionada, agora está implícito que há mais utilidade do que apenas usuários "paranóicos". Em particular, é dito que essa liberação de L1d na alternância de contexto trata do CVE-2020-0550.
O CVE-2020-0550 foi tornado público pela Intel em março, mas não recebeu tanta atenção em comparação com a vulnerabilidade de Injeção de valor de carga (LVI) que também foi divulgada no mesmo dia da divulgação. CVE-2020-0550 é descrito como " o encaminhamento de dados inadequada em algum cache de dados para alguns Intel (R) Processadores pode permitir que um utilizador autenticado potencialmente permitir a divulgação de informações via de acesso local. "
Intel'sobre a vulnerabilidade que as mitigações L1TF anteriores podem ajudar e "a amostragem L1D assistida por bisbilhoteiros pode ser atenuada liberando o cache L1D entre quando os segredos são acessados e quando o software malicioso é executado no mesmo núcleo " . Por sua vez, esse é o fluxo dessa cache L1d. A série de patches para o kernel Linux está visando. Os processadores Intel afetados abrangem desde Sandy Bridge até Comet Lake, Ice Lake e Atom P5900 Tremont.
Os patches atualizados também fazem parecer que algumas vulnerabilidades adicionais nesta classe podem estar a caminho ao mencionar " um número crescente de vulnerabilidades sendo relatadas em torno de vazamentos de dados do L1D " e " No momento, os seguintes CVEs ... "
De qualquer forma, essa série de patches continua sendo aprimorada e presumivelmente estará vendo o kernel principal do Linux em um futuro próximo. Novamente, esse fluxo de cache de dados L1 na alternância de contexto não está sendo ativado por padrão, mas o software interessado precisa fazer uso do novo ARCH_SET_L1D_FLUSH via arch_prctl para ativar essa funcionalidade. Aparentemente, isso seria recomendado para aplicativos que lidam com segredos ou onde códigos potencialmente maliciosos estão no mesmo núcleo da CPU, mas veremos como esse ARCH_SET_L1D_FLUSH acaba sendo adotado pelos programas de upstream - pelo menos agora, a partir dos patches enviados ontem, está claro o O trabalho é relevante para mais do que apenas os usuários "paranóicos" mencionados anteriormente. Em breve, trabalharei em alguns benchmarks com um patch modificado.
Até a próxima !!
Nenhum comentário:
Postar um comentário